2022年CISE/CISO知識體系大綱：安全評估

2022年CISE/CISO（注冊信息安全專業(yè)人員）考試內容以考試大綱為基礎，如有考生想要參加并獲得CISE/CISO認證，建議先了解考綱，2022年預計仍沿用2019年版本，小編特為大家整理了注冊信息安全專業(yè)人員知識體系大綱（CISE/CISO）每章內容供大家參考。以下是關于CISE/CISO的“知識域：安全評估”內容。

注冊信息安全專業(yè)人員知識體系大綱（CISE/CISO）

六、知識域：安全評估

6.1知識子域：安全評估基礎

6.1.1安全評估概念

了解安全評估的定義、價值、風險評估工作內容及安全評估工具類型；了解安全評估標準的發(fā)展。

6.1.2安全評估標準

了解TCSEC標準的基本目標和要求、分級等概念；

了解ITSEC標準的適用范圍，功能準則和評估準則的級別；了解ISO15408標準的適用范圍、作用和使用中的局限性；了解GB/T18336的結構、作用及評估過程；

理解評估對象（TOE）、保護輪廓（PP）、安全目標（ST）、評估保證級（EAL）等關鍵概念；

了解信息安全等級測評的作用和過程。

6.2知識子域：安全評估實施

6.2.1風險評估相關要素

理解資產、威脅、脆弱性、安全風險、安全措施、殘余風險等風險評估相關要素及相互關系。

6.2.2風險評估途徑與方法

了解基線評估等風險評估途徑及自評估、檢查評估等風險評估方法；

了解基于知識的評估，理解定性評估、定量評估的概念及區(qū)別并掌握定量分析中量化風險的方法。

6.2.3風險評估的基本過程

了解風險評估基本過程；

理解風險評估準備工作內容；

掌握風險識別中資產的賦值方法；

理解風險分析的方法；

了解風險結果判定、風險處理計劃、殘余風險評估等階段工作內容。

6.3.4風險評估文檔

了解風險評估文檔化工作的重要性及對文檔的相關要求；

6.3知識子域：信息系統(tǒng)審計

6.3.1審計原則與方法

了解信息系統(tǒng)審計職能、流程、內部控制及審計標準；

6.3.2審計技術控制

了解脆弱性措施、滲透測試等審計技術控制措施；

6.3.3審計管理控制

了解賬戶管理、備份驗證等審計管理控制措施；

6.2.4審計報告

了解信息系統(tǒng)審計報告標準SAS70和SOC；